勒索软件威胁态势与防护年度报告_2026_154页_6mb

> **来源：[研报客](https://pc.yanbaoke.cn)** # 勒索软件威胁与防护年度报告（2026）总结 ## 核心内容概述 2025年勒索软件攻击呈现爆发态势，全球勒索事件达7920起，SolarCERT安全应急响应团队处置534起，同比增长544.89%。攻击时间分布呈现“双峰一谷”特征，其中2月达到峰值，4月谷底，第四季度强势反弹。勒索攻击主要针对核心业务系统，高危事件占比达99.61%，双重勒索模式占比55.32%，“二次勒索”风险凸显。 ## 主要观点与关键信息 ### 1. 勒索攻击态势 - **时间分布**：2025年勒索攻击呈现明显的季节性，2月攻击事件最多，6月最少，第四季度攻击强度显著回升。 - **攻击高峰驱动因素**： - 企业IT预算周期造成安全防护真空。 - 社会工程攻击在春节与情人节期间显著增加。 - **攻击低谷原因**： - 攻击者与企业IT团队在夏季休假，响应能力下降。 - 高危事件数量并未减少，反而集中于高价值目标。 ### 2. 主流勒索组织与活跃家族 - **全球Top 5勒索家族**： - **Qilin**：以RaaS模式运营，使用Rust开发，攻击Windows和VMware ESXi。 - **Akira**：主要针对美、加地区，采用双重勒索，代码与Conti家族相似，使用Rust。 - **Clop**：从“加密+窃取”转向“无加密勒索”，依赖0-Day漏洞进行快速数据窃取。 - **Play**：采用封闭式运营模式，不依赖RaaS，使用双重勒索，具备高隐蔽性。 - **Incransom**：起步即成熟，专注医疗、教育、政府等高敏感行业，施压策略独特。 - **国内Top 5勒索家族**： - **Weaxor（Maloxx变种）**：攻击MS-SQL数据库，利用已知漏洞进行自动化渗透。 - **BeijingCrypt**：主要针对中国企业，采用RDP暴力破解和钓鱼邮件。 - **盗版LockBit 3.0**：因源码泄露，大量变种出现，攻击者水平参差不齐。 - **Rast Gang**：使用Rust，加密速度快，采用RDP爆破与N-day漏洞组合。 - **Makop**：Phobos家族变种，具备双重勒索能力，使用AES-CBC和RSA算法。 ### 3. 勒索家族加密方式 - **加密趋势**： - 混合加密架构成为主流，采用“对称加密+非对称加密”模式。 - 使用Curve25519等新型算法，提高密钥生成效率。 - Go和Rust语言成为勒索软件开发的主流选择，提升逆向分析难度。 - **加密方式分析**： - 多数家族使用RSA加密会话密钥，AES加密文件内容。 - Weaxor使用Curve25519公钥。 - LockBit 4.0使用X25519公钥。 ### 4. 入侵路径与传播机制 - **主要入侵方式**： - **RDP与凭据泄露**（45%）：通过购买或暴力破解获取初始权限。 - **高危漏洞利用**（30%）：针对VPN、OA系统和虚拟化平台。 - **弱口令与数据库暴露**（12%）：Weaxor家族利用MS-SQL数据库漏洞。 - **钓鱼邮件与社会工程**（10%）：诱导员工运行恶意附件。 - **入侵战术**： - 利用合法系统工具（如sqlps.exe）规避EDR监控。 - 通过边界设备漏洞（如FortiGate）进行无凭据攻击。 - 利用内存提取工具（如Mimikatz）获取高级权限。 ### 5. 勒索组织演化与家族更替 - **组织演变**： - 2025年勒索组织更替频繁，技术迭代迅速。 - 新增勒索家族多采用RaaS模式，快速形成攻击能力。 - 一些组织如Phobos、Mallox等已离线，但其变种仍活跃。 - **代表家族演进**： - **TheGentlemen**：具备高度职业化，利用FortiGate漏洞。 - **LockXX**：本地化特征明显，支持双语勒索信。 - **LockBit 5.0**：通过降低加盟费用（500美元）重组网络。 ### 6. 防护与应急响应建议 - **企业防护建议**： - 加强安全意识培训。 - 建立完善的安全防护体系，包括防火墙、入侵检测系统和数据备份。 - 制定应急响应预案并定期演练。 - 强化补丁管理和系统加固。 - **个人用户建议**： - 提高安全意识，避免点击可疑链接和附件。 - 防范高风险上网行为，如未加密的公共网络。 - 遭遇勒索时，避免支付赎金，寻求专业应急响应支持。 - **红色预警日历**： - 基于数据的资源调配策略，提高对关键时间点的防御准备。 ## 附录与趋势解读 - **附录一**：2025年国外重大勒索事件回顾，展示勒索活动的全球影响。 - **趋势解读**： - 勒索攻击呈现工业化特征，攻击链更复杂。 - 双重勒索成为主流，数据泄露与业务中断并行。 - AI技术影响勒索攻防形态，提升攻击效率与隐蔽性。 - 勒索组织从“技术犯罪”向“全球化商业体系”演变。 ## 结论 2025年勒索软件攻击呈现高度集中化和复杂化趋势，企业面临前所未有的挑战。通过加强安全意识、完善防护体系、制定应急响应策略，以及提升对新型攻击手段的识别和防御能力，企业可以有效降低勒索攻击风险，保障业务的持续稳定运行。